“扫一扫”

美国医疗数据成黑客目标


来源于:FT中文网

摘要:2015年1月,医疗保险公司Anthem的管理员注意到,公司计算机网络上运行着一项异常复杂的查询指令。它看上去像是某个同事发出的,但快速检查发现,该指令来自别处。

2015年1月,医疗保险公司Anthem的管理员注意到,公司计算机网络上运行着一项异常复杂的查询指令。它看上去像是某个同事发出的,但快速检查发现,该指令来自别处。
 
 
几分钟后,Anthem进入危机状态。调查人员认为,发动攻击的黑客来自中国,他们在该公司的网络内部活动了好几个月而未被发现。他们通过诱骗公司员工点击伪装成类似公司内部讯息的钓鱼邮件而侵入内网。
 
利用管理员登录凭据,这些黑客将Anthem的数据库——包含2004年以来向该公司投保的7800多万人的姓名、社会保障号以及出生日期——搜了个遍。
 
Anthem遭受网络攻击给美国整个医疗保健业带来了一阵恐慌。该事件不仅使客户最敏感、最重要的个人信息外泄,而且显示出医疗保健业面对技术含量越来越高的网络罪犯(还有国家)的威胁毫无防备。
 
2014年,黑客获取了逾1亿份健康档案——超过以往数量的100倍。美国卫生及公众服务部(HHS)的数据显示,在10起针对所有类型医疗保健提供商的最大规模的网络攻击事件中,有8起发生在2015年。
 
保险公司竞相聘请网络安全公司来清理自己的网络系统。Premera Blue Cross、CareFirst BlueCross BlueShield以及Excellus Health Plan宣称,自2015年3月以来,网络攻击共计已经影响至少2200万人,有些攻击行为作案时间跨度超过一年。调查人员向英国《金融时报》表示,他们认为,其中一些网络攻击与中国关联,可以被追查至中国。
 
这些保险公司面临各州保险监管机构及司法部的多重调查,有些可能因未能遵守各州的数据隐私保护法而面临处罚,而联邦执法机构正在调查这些攻击行为的背后主使。
 
“很多保险公司对保护个人信息没有给予应有的重视。由于他们往往将注意力放在许多其他事情上,这会带来漏洞,而且我认为很多黑客意识到这一点,”HHS公民权办公室负责健康信息安全与隐私的副主任德文·麦格劳(Deven McGraw)说,“我们发现了一些相当一致的违规行为。”
 
正在调查这些攻击行为的HHS拒绝发表具体评论。在包括美国、英国在内的很多国家,隐私法律要求医疗保健公司保护个人数据。但监管机构称,它们在维护基本安全方面表现不一致。
 
在英国,还没有关于国民医疗服务体系(NHS)遭到网络攻击的报道,但代表政府监督数据隐私的英国信息专员办公室(ICO)已对该机构处罚了130万英镑。这些罚款主要针对工作疏忽:将笔记本电脑丢失、将文件遗忘在食品超市,以及将病历遗忘在公共汽车站。
 
信息专员克里斯托弗·格雷厄姆(Christopher Graham)表示:“NHS拥有一些可以获得的最敏感的个人信息,但它非但没有在管好这些信息方面起到表率作用,反而成为表现最差机构之一。这令人十分担忧。”2015年,ICO被赋予了新的权限,可对NHS的系统进行强制审核。NHS发言人说:“保护政府各部门、尤其是医疗系统的数据安全是一个工作重点。”
 
 
同在英国一样,美国医疗保健提供商的大部分数据泄露源自笔记本电脑丢失,或内部人士不当访问系统。然而,随着越来越多的信息采用电子形式保存(为了使病历更便于携带,美国政府大力推动这一理念),这些数据遭受的网络攻击越来越多。
 
在一些医院,身兼管理职责的医生往往抵制电子技术,认为这会妨碍对患者的医护。HHS的麦格劳表示这是一个常用的借口,但她说,令人更为不安的是许多公司不对自己的数据进行加密。
 
过去几年数百家医院合并,加剧了这一问题,因为合并往往导致一家医院集团存在多个信息技术(IT)系统。本应被当作重点的网络安全往往被忽视。
 
“这是一个各自为政的行业,因此,这里并不像金融服务与网络安全领域那样,存在诸多能够推动整个行业的主要参与者,”思科(Cisco)高级服务部负责网络安全的高级副总裁布莱恩·帕尔马(Bryan Palma)说,“医疗保健业没有出现这种情形。”
 
专家表示,受到医疗保健利润率方面的压力,只有约3%的IT预算被用于加强网络安全。医护的许多方面都在医院单一的网络上共享。这意味着,寻找患者数据的黑客还可能扰乱在同一网络上运行的呼吸机等抢救设备。
 
新威胁显现
 
2015年期间出现了调查人员所称的与中国相关的黑客攻击,这使威胁的性质发生了变化。
 
网络安全公司曼迪昂特(Mandiant)的调查员查尔斯·卡玛卡尔(Charles Carmakal)说:“我们了解到,有多个在中国运作的威胁小组参与了针对美国医疗保健业的网络攻击。”曼迪昂特受聘于Anthem、Premera等医疗保险公司。
 
卡玛卡尔说:“虽然从组织上看,我们确信知道他们是谁,但无从得知是谁指派他们这样做。最大的问题是:他们是雇佣兵那样的黑客吗?他们是应中国政府的要求这样做的吗?”
 
中国政府已否认与这些网络攻击有关系。知情人士表示,美国调查人员相信,中国黑客将目标对准Anthem等美国保险公司,目的是了解美国的医保体系以及保险公司数据库是如何建立的。这些档案在情报方面也具有价值。应对医疗保健方面的挑战是中国政府的重要任务,因为日益老龄化且富裕起来的民众要求得到更好的医护。
 
“中国对于任何能帮助他们应对他们面对的疾病以及人口变化的信息都非常感兴趣,”网络安全公司CrowdStrike联合创始人德米特里·阿尔佩罗维奇(Dmitri Alperovitch)表示,但他拒绝就Anthem遭攻击事件发表具体评论。“例如,糖尿病在中国是一个大问题,因此他们将目标对准该领域的公司。”
 
中国承诺到2020年为全体公民提供普遍医疗服务。目前,中国的人均医疗支出仍远远落后于发达国家水平,而且中国的医疗体系充斥着腐败与回扣。
 
对于在黑市出售个人健康数据的犯罪分子而言,医疗行业也是一个有吸引力的目标。病历比信用卡号码更值钱,因为病历失窃往往需要较长时间才能察觉,所以数据有较长的“有效期”。社会保障号之类的数据可以被用于一系列犯罪活动,如骗取退税、诈骗保险金、联邦医疗保险计划(Medicare,主要面向65岁以上的居民)欺诈等。
 
在黑市,一份信用卡信息可卖约1美元,但是,据网络安全公司Raytheon Websense的分析师卡尔·伦纳德(Carl Leonard)表示:“我曾看到一个人的完整病历能卖到200至2000美元。”
 
他说,市场上充斥着大量偷来的信用卡资料,因此,“如今病历最值钱”。
 
调查人员并不认为Anthem被窃取的信息已在黑市上出售。然而,有黑客已经通过发送貌似来自Anthem的伪造电子邮件或以提供信用保护为由,将目标对准了Anthem遭攻击事件的受害者。知情人士表示,这些电子邮件旨在窃取数据,然后出售给罪犯分子。
 
Anthem计划在两年期间支出1.3亿美元,更好地保护公司网络免遭黑客侵入。该公司向监管机构保证已经加强了系统,并采取相关安全措施,比如每10小时更改管理员密码以及聘请55名网络安全专家。
 
糟糕的“网络卫生”
 
虽然黑客的手段各有不同,但在美国医疗行业遭遇的许多类网络攻击中,他们都设置了类似医疗保险公司官网的域名。这些域名是在攻击行为被发现之前建立的。
 
网络安全公司ThreatConnect以及赛门铁克(Symantec)的研究显示,这些假网站往往将真网站的域名换掉一个字母,或者用数字“1”替换真网站域名中的字母“l”。
 
Anthem原称WellPoint,黑客建立了一个类似的www.we11point.com域名。还有的用域名prennera.com取代Premera,用EmpireB1ue.com取代Empire Blue,用caref1rst.com取代CareFirst。这些假域名都被追踪至中国。
 
当Anthem的管理员在2015年1月27日发现网络遭到攻击时,黑客们正在提取一大份患者数据文件。了解此次网络攻击的人士称,这些黑客据信已潜伏该公司系统中数月,他们通过向数据库发出大量查询摸查情况,然后开始窃取文件。
 
这些黑客使用了一种重复的提取数据模式,每一次对查询稍作修改以免被发现。然后,他们将数据转移至一个类似于投件箱的加密共享站点。这些黑客选择了一个类似于Anthem正在使用的共享站点,使他们的行为更难被察觉。
 
Anthem被诟病的是,该公司没有正确的“网络卫生”,即落实到位的保护措施,最大限度地降低遭受攻击的风险,或者在网络遭到侵入时限制易受攻击的信息。
 
数十名参加Anthem医疗保险计划的美国人以网络安全公司曼迪昂特的一份报告为依据,向Anthem提起一桩集体诉讼,指控Anthem未实行双重身份验证,未要求用户修改自己的密码,还允许雇员获取超出自己工作范围的个人信息。
 
Anthem据称还忽视了警示(据诉状称,其中一个警示持续了一个月),而且未建立可监测数据使用或提取的系统。现在,该公司对高级别系统管理员实施双重身份验证。
 
在2013年9月对Anthem的一次审核中,美国人事管理局(OPM)监察长表示,该保险公司存在的漏洞可能“为恶意病毒与黑客活动提供一个门户”。
 
Anthem可能面临罚款,并被要求采取补救措施。
 
这次网络攻击事件已经让Anthem支付了约2.3亿美元的法律与咨询费用。其中大部分费用都由该公司的网络保单覆盖。然而,Anthem的总法律顾问托马斯·杰林斯基(Thomas Zielinski) 2015年8月对保险监管机构称,自遭遇攻击以来,该公司的网络保费已大幅提高。现在,Anthem不得不承担网络攻击造成的最初2500万美元的损失,并已购买一份提供1亿美元额外保险的保单。
 
“(Anthem)遭攻击事件提升了人们的意识,”思科的帕尔马说,“医疗行业惊呼,‘现在这是真事了。我们行业有了先例。’他们虽然晚了些,但至少现在意识到了。”



评 论



登陆发表评论